ko81ro
30.12.2014, aktualisiert am 16.01.2015
view2216
view11
0
Goto Top

AD-Auditing

gelöstFrageMicrosoftWindows Server
Hallo zusammen,

ein Kunden möchte gerne das AD-Auditing. Habt Ihr dabei Erfahrungen, Powershell oder andere dritt Anbieter Software?

Einfach checks wie zum bespiel, remove, delete, changes!

User und Gruppen sind betroffen.

Windows Server 2008 R2 Umgebung.


Danke schon mal..

Gruß
veneue
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 258690

Url: https://administrator.de/contentid/258690

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
colinardo
colinardo 30.12.2014 aktualisiert um 11:15:48 Uhr
Goto Top
Hallo veneue,
ein Kunden möchte gerne das AD-Auditing
aha, das sagt jetzt viel face-wink, überhaupt schon grundlegend in das Thema eingelesen ? Ist eigentlich das selbe wie beim File-Auditing, und das Eventlog deine Filterquelle.

Schaust du für ein Beispiel hier rein:
Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung

Grüße Uwe
ko81ro
ko81ro 30.12.2014 um 11:28:32 Uhr
Goto Top
Hallo colinardo,

sorry, aber eingelesen schon wollte von den erfahrenen Admin die Meinung hören?

Kann man im Eventlog alles rauslesen? Powershell wäre doch auch ne Möglichkeit

Gruß
veneue
colinardo
colinardo 30.12.2014 aktualisiert um 11:35:26 Uhr
Goto Top
Zitat von @ko81ro:
Kann man im Eventlog alles rauslesen? Powershell wäre doch auch ne Möglichkeit
Ja klar, deswegen heißt das ja Auditing, mit Powershell filterst du hier ja auch nur das Eventlog ... Mit Get-WinEvent oder Get-Eventlog
Automatische Eventlogauswertung mit Filterung

Womit du das machst sei dir überlassen, das Eventlog ist aber deine primäre Quelle.
ko81ro
ko81ro 30.12.2014 um 11:50:44 Uhr
Goto Top
Hallo colnardo,

vielen Dank schon mal für die Info.

Der Kunde wollte nämlich https://www.ultimatewindowssecurity.com/securitylog/quickref/default.asp ... dies hier einsetzen, kannst du mal drüber schauen?

Gruß
veneue
Dani
Dani 30.12.2014 um 12:06:41 Uhr
Goto Top
Moin,
die Frage ist was du unter dem Begriff verstehst. Es gibt auch seitens Microsoft ein Audit, das die technische Qualität überprüft und gefundene Beanstandungen mit der Geschäftsführung erleutert.


Gruß,
Dani
colinardo
colinardo 30.12.2014 um 12:08:27 Uhr
Goto Top
Zitat von @ko81ro:
Der Kunde wollte nämlich https://www.ultimatewindowssecurity.com/securitylog/quickref/default.asp ... dies hier einsetzen,
kannst du mal drüber schauen?
Öhm, was soll ich mit dem Referenz-Chart machen ?? Die Event-IDs lassen sich ja direkt aus dem Eventlog rausholen...
Und was will der Kunde damit wenn du es doch umsetzen musst, oder verstehe ich hier was falsch ?
ko81ro
ko81ro 30.12.2014 um 12:11:45 Uhr
Goto Top
Ich meinte ob man alles was auf dem Chart ist mit dem eventviewer auslesen kann, dann bräuchte ich nämlich das Tool nicht!

Danke und Gruß
veneue
colinardo
colinardo 30.12.2014 aktualisiert um 12:30:08 Uhr
Goto Top
Zitat von @ko81ro:

Ich meinte ob man alles was auf dem Chart ist mit dem eventviewer auslesen kann, dann bräuchte ich nämlich das Tool
nicht!
Was für ein Tool, das ist doch nur eine Übersicht für Einsteiger ? Alles an Info was du brauchst findest du in den entsprechenden Logs des Eventlogs !! Mit get-winevent detailliert auslesbar, wie in den obigen Links bereits gepostet.
ko81ro
ko81ro 30.12.2014 um 13:16:50 Uhr
Goto Top
Perfekt, vielen Dank colinardo für den Feedback, wünsche dir noch einen guten Rutsch ins neue Jahr!
colinardo
colinardo 30.12.2014 um 13:19:09 Uhr
Goto Top
Zitat von @ko81ro:
wünsche dir noch einen guten Rutsch ins neue Jahr!
Prosit dir ebenfalls face-smile

Grüße Uwe
colinardo
Lösung colinardo 08.01.2015, aktualisiert am 16.01.2015 um 09:59:38 Uhr
Goto Top
Wenns das dann war, bitte noch als gelöst markieren. Merci.
gelöstFrageMicrosoftWindows Server
Mehr von ko81roko81roExchange 2010 Junk Email Regelko81ro - 3 Kommentareko81roNslookup spamhaus.org non existing domainko81ro - 13 Kommentareko81roBluescreen Driver IRQL NOT LESS OR EQUAL windows Server 2008 SP1ko81ro - 16 Kommentareko81roAll in One Printer gesuchtko81ro - 7 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareManuManu2021Verpasster Anruf von +49-030-123456 mit einer Mobilfunk Prepaid SIMManuManu2021 - 11 Kommentare